Impatto del ransomware sulle grandi imprese globali - Rapporto Sans Spotlight

Negli ultimi anni, il ransomware è cresciuto fino a diventare una delle minacce più grandi e prolifiche per le organizzazioni di oggi. In generale, qualsiasi violazione dei dati è un evento che nessun team di sicurezza desidera vivere. Tuttavia, il ransomware non è solo una violazione dei dati; le vittime del ransomware sono spesso svergognate pubblicamente da avversari che chiedono somme esorbitanti per assicurarsi il rilascio dei loro dati bloccati. L'Unità 42 di Palo Alto ha riferito che nella prima metà del 2021 il pagamento medio di un ransomware è salito a 570.000 dollari. Alla fine dello stesso anno, un assicuratore aveva pagato 40 milioni di dollari per un ransomware, secondo un rapporto Mimecast del 2021 sui casi di ransomware.

Il ransomware ha avuto un impatto significativo anche sulla sicurezza aziendale. Ha rimodellato il modo in cui costruiamo i piani di risposta agli incidenti, valutiamo le assicurazioni informatiche e sviluppiamo processi aziendali basati sulla continuità e sulla resilienza. Questo impatto può aver costretto le organizzazioni a guardare al panorama delle minacce in modo diverso, prendendo decisioni diverse da quelle originariamente previste. Inoltre, ha dato un nuovo significato sia a ciò che denota un disastro sia ai requisiti per le operazioni di ripristino. Non possiamo ignorare l'impatto che il ransomware ha avuto su alcune delle più grandi organizzazioni del mondo, soprattutto se associato ai cambiamenti derivanti dalla recente pandemia COVID-19.

In questo articolo esaminiamo come il ransomware abbia influito sullo stato della sicurezza delle 2.000 aziende più grandi del mondo (G2K). Il ransomware stesso è diventato un "grande business" e, come tale, ha creato effetti duraturi sulle normali operazioni aziendali, come le attività di fusione e acquisizione e la crescita del settore. Il ransomware ha anche avuto effetti di vasta portata sulla politica federale e internazionale in materia di sicurezza informatica.

Sebbene spesso si guardi agli attori delle minacce, e non agli obiettivi delle minacce, come punto focale, il ransomware come profilo di attacco è troppo prolifico e impattante perché le organizzazioni possano ignorarlo. Come analizziamo in questo documento, il ransomware è una minaccia formidabile che ha cambiato il modo di operare di molte organizzazioni.

Al giorno d'oggi, gli attori delle minacce ransomware stanno ampliando le loro tattiche, tecniche e vettori di ingresso, sfruttando rapidamente le vulnerabilità e gli exploit zero-day per ottenere l'accesso e consegnare i payload ransomware iniziali. Le organizzazioni che non sono attente a queste minacce o che non sono consapevoli delle tendenze del ransomware si troveranno colte di sorpresa e rapidamente sfruttate. Anche se il nostro documento si concentra sul G2K, incoraggiamo le organizzazioni di qualsiasi dimensione a farlo:

• Implementare solide capacità di monitoraggio e rilevamento dei vettori di ingresso del ransomware, come le vulnerabilità e le soluzioni di accesso remoto.
• Implementare funzionalità di rilevamento e risposta su endpoint e reti, sia on-premise che in cloud.
• Considerate le strategie di difesa in profondità per limitare la facilità di riutilizzo delle credenziali e il movimento laterale all'interno dell'ambiente.
• Limitare la connettività di rete ai sistemi di backup e/o disaster recovery, che sono spesso bersaglio degli avversari del ransomware.
• Assicuratevi che il vostro piano di risposta agli incidenti includa la gestione della nomina pubblica e dell'infamia.

Infine, vale la pena notare che, sebbene questo documento si concentri sulla minaccia del ransomware, molte delle raccomandazioni e delle mitigazioni descritte in questo documento sono utili per combattere l'ampia gamma di obiettivi che gli attori delle minacce intendono raggiungere. L'implementazione di forti requisiti per l'accesso remoto o la limitazione della facilità di movimento laterale possono fermare una moltitudine di avversari. A tutto vantaggio di un team di sicurezza che cerca di ottenere il massimo per il proprio denaro, gli avversari del ransomware spesso riciclano tecniche e tattiche, creando l'opportunità per gli analisti della sicurezza di individuare gli attacchi prima che diventino violazioni.

Impatto del ransomware su ^G2K1

Come abbiamo detto, l'impatto del ransomware può essere facilmente avvertito da organizzazioni di tutte le dimensioni. Tuttavia, date le loro dimensioni e la loro portata, le organizzazioni G2K hanno subito alcuni degli attacchi ransomware più pubblicizzati. Inoltre, dato il loro fatturato accumulato e i loro profili pubblici, le G2K rimangono in cima agli elenchi dei bersagli degli avversari. Promettono una taglia per il ransomware superiore a quella che possono permettersi le organizzazioni più piccole.

È interessante notare che potremmo anche sostenere che le organizzazioni G2K sono obiettivi ben difesi. Si suppone che, a un certo livello di fatturato, i dipartimenti di sicurezza siano finanziati (potenzialmente ben finanziati) e che la sicurezza delle informazioni sia parte integrante delle operazioni aziendali. Purtroppo, come abbiamo imparato più volte, non è sempre così. Questo non significa che i team di sicurezza delle grandi organizzazioni non stiano facendo un buon lavoro. Possiamo però imparare dalle loro esperienze. Esaminiamo e impariamo dai casi di studio pubblici per determinare come implementare al meglio la sicurezza e garantire migliori pratiche di difesa.

Impatto sulla fiducia dei clienti: Accenture (G2K #169)

Il nostro primo caso di studio analizza l'impatto del ransomware sulla fiducia dei clienti in un'organizzazione. La riservatezza dei clienti è di fondamentale importanza per un'azienda come Accenture ed è spesso considerata uno dei principali elementi di differenziazione delle società di consulenza. Nell'agosto del 2021, Accenture ha subito un attacco ransomware che ha portato al furto confermato di dati proprietari dai suoi sistemi IT e ha creato una minaccia a due teste.

Innanzitutto, quando un avversario viola la sicurezza, cripta i dati e chiede un riscatto, l'organizzazione è già in preda al panico per determinare la causa principale dell'attacco e le azioni da intraprendere. Tuttavia, quando un'organizzazione è il custode dei dati altrui, deve anche identificare rapidamente i dati specifici impattati o rubati dall'ambiente. Inoltre, un'organizzazione vittima deve rispondere a domande chiave come: "L'avversario può usare questi dati per danneggiare l'azienda o i suoi clienti?". Deve anche stabilire se un avversario può utilizzare i dati rubati per colpire e attaccare con successo altre organizzazioni.

In genere, nei casi di ransomware in cui i dati rubati sono informazioni di identificazione personale (PII) o dati proprietari, l'organizzazione deve concentrarsi sul porre fine all'intrusione con urgenza. Senza un programma di sicurezza che preveda un "caveat" per il ransomware, un piano di risposta agli incidenti potrebbe essere troppo lento o non abbastanza coinvolgente per contrastare un attacco del genere prima di un esito dannoso o per riportare l'organizzazione alla normalità dopo l'intrusione. Inoltre, una comprensione dettagliata e tempestiva di ciò che è accaduto e di quali dati sono stati potenzialmente rubati è fondamentale per gli esiti della negoziazione. La decisione di Accenture potrebbe essere stata diversa se fossero stati sottratti moltissimi dati dei clienti.

Risultato: Gli avversari hanno dichiarato che erano stati rubati 6 TB di dati e hanno avanzato una richiesta di ransomware di 50 milioni di dollari. Tuttavia, Accenture ha ripristinato i sistemi interessati da un backup e ha confermato che nessun dato dei clienti era stato sottratto.

Non è detto che i clienti lascino o rimangano a causa di una violazione di ransomware. Tuttavia, la protezione dei dati dei clienti e della proprietà intellettuale dell'organizzazione dovrebbe essere uno dei principali obiettivi dell'azienda. Il ransomware può essere la forza che spinge a nuove politiche di sicurezza e all'implementazione di processi e controlli più forti e avanzati, che il team di sicurezza dovrebbe abbracciare e implementare il più possibile.

Impatto sulla Supply Chain globale: JBS USA (G2K #525)

Il nostro secondo caso di studio analizza l'impatto del ransomware sulle operazioni della supply chain e quanto possa essere devastante un attacco informatico per il mondo fisico. Nel maggio 2021, JBS USA, uno dei maggiori fornitori di carne degli Stati Uniti, ha reso noto che un attacco ransomware aveva interrotto le operazioni di produzione in cinque impianti, che lavoravano un totale di 22.500 capi di bestiame al giorno. L'interruzione delle operazioni si è estesa anche agli stabilimenti in Australia, evidenziando quanto fossero connessi i sistemi di JBS.

JBS è un esempio perfetto di come un attacco ransomware possa avere un impatto su una catena di approvvigionamento globale. L'interruzione della produzione di carne ha colpito un lungo elenco di clienti di JBS, tra cui ristoranti, negozi di alimentari e fornitori, come gli allevatori di bestiame. Questa interruzione potrebbe indurre sia i clienti che i fornitori di JBS a rivolgersi altrove e fornire agli aggressori una leva per gonfiare il costo della violazione del ransomware. Inoltre, a seconda dell'entità dei danni subiti dai sistemi di produzione, potrebbero essere necessari giorni o settimane per tornare alla normale velocità operativa.

Risultato: JBS ha ceduto alle richieste di riscatto e ha pagato 11 milioni di dollari agli attori della minaccia. Sebbene l'azienda riferisca che non sono stati compromessi dati aziendali, dei clienti o dei dipendenti, è probabile che la decisione aziendale sia stata quella di pagare 11 milioni di dollari piuttosto che perdere la produzione per altri giorni.

Impatto sull'integrità dei dati e sull'estorsione: Brenntag (G2K #1088)

Infine, il nostro terzo caso di studio esamina l'impatto sull'integrità dei dati a seguito di una violazione da ransomware presso Brenntag, un'azienda di distribuzione di prodotti chimici con sede in Germania. Nel maggio 2021, è stato riferito che il gruppo ransomware DarkSide ha compromesso la divisione nordamericana di Brenntag utilizzando credenziali rubate. Al culmine dell'attacco, gli avversari hanno lanciato il payload di crittografia previsto e hanno sottratto quasi 150 GB di file dall'ambiente.

Secondo quanto dichiarato dal gruppo di ransomware al momento della divulgazione, i dati rubati (che erano in chiaro nelle mani dell'avversario) comprendevano contratti, NDA, formule chimiche e documenti finanziari e contabili fondamentali. Anche se non sappiamo se gli avversari fossero a conoscenza dei dati in loro possesso, hanno capito il loro valore e la probabilità che Brenntag volesse mantenerli privati.

Utilizzando i dati rubati come leva, la richiesta originale del ransomware è stata di 7,5 milioni di dollari. Secondo gli elenchi di G2K, Brenntag è un'azienda da 14,2 miliardi di dollari, quindi 7,5 milioni sembrano una "goccia nel mare". Questo è un punto di vista che gli attori delle minacce ransomware adottano spesso: si tratta di un sottoinsieme così piccolo del vostro valore, che la sicurezza dei vostri dati deve valere questa piccola somma. Questa strategia si riflette nelle loro tattiche di negoziazione.

Risultato: Brenntag ha pagato 4,4 milioni di dollari dei 7,5 milioni originari agli attori della minaccia l'11 maggio 2021. Anche se spesso avviene a porte chiuse, il processo di negoziazione del ransomware è un altro processo in cui gli avversari investono tempo e competenze per estrarre il massimo importo da un'organizzazione vittima.

Impatto del ransomware sulla sicurezza

In soli tre brevi casi di studio, siamo stati in grado di evidenziare come un attacco ransomware possa avere un rapido impatto sulla fiducia dei clienti, sulle catene di fornitura globali o sull'integrità dei dati. I tre attacchi esaminati sono solo la punta dell'iceberg. Il ransomware è diventato un settore multimiliardario, con alcune stime che parlano di oltre 10 miliardi di dollari nel 2021. Tuttavia, si potrebbe stranamente affermare che il ransomware ha anche cambiato contemporaneamente il panorama delle minacce e della sicurezza aziendale.

Impatto sul rilevamento e sulla risposta agli incidenti

L'area in cui il ransomware ha avuto il maggiore impatto è probabilmente il modo in cui le organizzazioni rilevano e rispondono agli incidenti. Se pensiamo alle violazioni di dati dei primi anni 2010, il mondo era perlopiù consumato dalle violazioni a scopo finanziario, dallo spionaggio di proprietà intellettuale e di Stato e dall'hacktivismo. Il ransomware era visto come una minaccia "fastidiosa" che richiedeva solo poche centinaia di dollari e spesso era facilmente gestibile con le tecniche di recupero dei dati.

Nel 2021-2022 gli avversari del ransomware hanno affinato le loro capacità. Un attacco ransomware ora identifica e prende di mira i meccanismi di recupero dei dati. Si ha notizia della capacità degli avversari di passare da zero ad amministratore di dominio e alla crittografia completa in poche ore, il che significa che i team di sicurezza hanno ancora meno tempo per tenere il passo e neutralizzare una minaccia.

Gli avversari del ransomware hanno migliorato ulteriormente le loro abilità concentrandosi sulle fasi successive alla crittografia di un attacco. Le trattative sono gestite da una parte separata che conosce la vittima, può discutere delle finanze ed è disposta ad accettare una somma inferiore a quella del riscatto originale. Allo stesso tempo, gli attori del ransomware non sono soliti estorcere denaro alle vittime, minacciandole di perdere dati e di trovarsi in altre situazioni imbarazzanti.

Questi parametri hanno cambiato il rilevamento e la risposta agli incidenti in alcuni modi fondamentali:

• I team di sicurezza devono essere in grado di rilevare le minacce più rapidamente. I tempi di permanenza degli avversari misurati in giorni possono portare a controlli di sicurezza che funzionano troppo lentamente e danno agli attori delle minacce ransomware troppo tempo per agire.
• Non si tratta più di rilevare il payload del ransomware, che arriva troppo tardi. Oggi bisogna concentrarsi sulle attività e sulle tecniche che precedono la diffusione del ransomware.
• Oggi più che mai, i team di sicurezza dovrebbero affidarsi a solide tecnologie di rilevamento e risposta (sia per la rete che per l'endpoint, rispettivamente NDR ed EDR) per fornire capacità avanzate di rilevamento e gestione. La copertura degli attacchi che sfruttano gli account privilegiati è una considerazione fondamentale, dato il ruolo centrale che essi rivestono negli attacchi moderni.
• I piani di risposta agli incidenti devono prevedere opzioni rapide che neutralizzino immediatamente le minacce. L'invio di un ticket di modifica per bloccare una porta del firewall fa perdere troppo tempo, soprattutto agli avversari artigianali che si muovono alla velocità della luce in una rete piatta.
• I piani di risposta agli incidenti devono includere anche altri reparti "non tradizionali". Non tutti gli incidenti in un'organizzazione possono richiedere una chiamata al reparto legale o alle pubbliche relazioni. Una violazione di ransomware, tuttavia, potrebbe essere divulgata pubblicamente prima ancora che il team di sicurezza se ne occupi. Questo dovrebbe indurre a coinvolgere altre parti, esperte nella gestione di questioni rivolte all'esterno.

Per quanto riguarda il rilevamento e la risposta agli incidenti, esistono anche opportunità uniche per i team di sicurezza. Le preoccupazioni del consiglio di amministrazione e dei dirigenti per un attacco ransomware possono fornire l'impulso necessario per finanziare un determinato strumento o progetto, spostare le risorse vulnerabili in un "luogo" più sicuro o implementare finalmente politiche e processi che il team di sicurezza sta cercando da tempo.

È interessante notare che gli attacchi ransomware sono tra gli unici tipi di attacchi che si concentrano sull'esito dell'attacco, non necessariamente sugli attori della minaccia e/o sui loro obiettivi associati. Sebbene questo sia un punto di vista unico, non elimina la necessità di un'igiene di sicurezza di base, che può contribuire a fermare tutti i tipi di attacchi, non solo i ransomware.

Impatto su soluzioni di accesso remoto, password e autorizzazioni

Le soluzioni di accesso remoto fanno parte delle normali operazioni aziendali da decenni; non è una novità che gli amministratori accedano ai sistemi per i normali aggiornamenti IT, la manutenzione e così via. Sfortunatamente, sono anche diventate uno dei vettori di ingresso preferiti dagli avversari del ransomware, che sanno che i sistemi di accesso remoto o "jump box" sono spesso configurati con una sicurezza leggera, ma con autorizzazioni pesanti.

Per questo motivo, i processi aziendali hanno dovuto esplorare una modifica o un processo aziendale nuovo di zecca per consentire l'accesso remoto degli amministratori. Anche se questo può sembrare semplice igiene della sicurezza, il ransomware è stato uno dei principali veicoli che hanno spinto all'autenticazione a più fattori, all'uso obbligatorio di VPN o alla completa eliminazione delle soluzioni di accesso remoto.

Il ransomware ha avuto un impatto anche sul modo in cui le organizzazioni trattano le password e le autorizzazioni degli utenti. Troppo spesso assistiamo a violazioni di dati che coinvolgono un account con troppe autorizzazioni, poca sicurezza perimetrale e credenziali facilmente indovinabili. Anche all'interno della popolazione del G2K, si tratta di un problema preesistente che è pronto per essere sfruttato dagli avversari. Inoltre, l'analisi forense e la risposta agli incidenti possono essere difficili quando un avversario si "confonde" con il traffico normale.

Il ransomware può tuttavia essere il catalizzatore per imporre il necessario cambiamento organizzativo. L'implementazione dell'autenticazione multifattoriale è una buona pratica che i professionisti della sicurezza raccomandano da anni: Può scoraggiare il ransomware e altri tipi di attacchi da parte di avversari che non hanno il tempo di affrontare un ostacolo di sicurezza così "robusto".

Saremmo negligenti se non notassimo che una cosa semplice come l'autenticazione a più fattori può ridurre a due cifre le percentuali di successo degli avversari. Un numero significativo di attacchi si basa su credenziali deboli a fattore singolo per l'accesso remoto. L'introduzione di un ostacolo può interrompere l'automazione degli avversari, eliminare la possibilità di vendere le credenziali e impedire un attacco altrimenti facile.

Impatto sulle vulnerabilità e sui cicli di vita dello sviluppo del software (SDLC)

Il ransomware ha avuto un impatto positivo anche sulla gestione delle vulnerabilità e sui cicli di vita dello sviluppo del software. Ciò deriva da un recente (ultimi 24 mesi) cambiamento negli attacchi ransomware, che hanno avuto origine da vulnerabilità ed exploit piuttosto che dal tradizionale accesso remoto o spearphishing. La rapida armatura e lo sfruttamento di vulnerabilità diffuse hanno introdotto un nuovo vettore per gli aggressori per distribuire ransomware, un'altra tendenza di cui i team di sicurezza devono essere consapevoli. A seconda di come la vulnerabilità è collegata all'ambiente, gli avversari possono essere in grado di distribuire rapidamente il loro ransomware con le autorizzazioni.

Ad esempio, tra marzo e aprile 2021, sono state applicate diverse patch a vulnerabilità che interessavano Exchange Server on-premises di Microsoft, versioni 2013, 2016 e 2019. Quasi contemporaneamente all'annuncio delle vulnerabilità, gli avversari si erano già armati e avevano effettuato la scansione dei server Exchange vulnerabili rivolti a Internet, che ovviamente erano migliaia. A questo punto, un semplice allineamento di script e scanner automatici ha fatto il lavoro sporco.

L'ampiezza con cui gli avversari possono automatizzare le loro operazioni introduce nuove complessità: da qui la necessità di un programma adeguato di gestione delle vulnerabilità e del ciclo di vita del software. Quando viene annunciata una vulnerabilità in un prodotto o in una libreria di software, i team di sicurezza non hanno giorni o settimane per identificarla e catalogarla. Questo compito deve essere svolto in anticipo. Anche i programmi di visibilità delle risorse possono essere inclusi in questa discussione, perché forniscono ai team di sicurezza informazioni sulle risorse e possono combinare il meglio di entrambi i mondi con un catalogo del software installato.

Pensieri conclusivi

In questo whitepaper abbiamo esaminato l'impatto del ransomware sulle 2.000 aziende più grandi del mondo. Sebbene il ransomware colpisca organizzazioni che vanno ben oltre questo elenco - i soldi sono soldi, dopotutto - vale la pena di vedere come le aziende con risorse gestiscono la minaccia del ransomware. Le entrate equivalgono a investimenti nella sicurezza informatica? Pone un bersaglio più grande sulle reti di un'organizzazione? Sono entrambe le cose, o anche di più?

Riteniamo che, nonostante si tratti di un attacco non discutibile, le lezioni apprese dalle violazioni del ransomware G2K conosciute pubblicamente possano aiutare altre organizzazioni a implementare difese più forti. Bloccare protocolli come l'accesso remoto e implementare programmi di visibilità e gestione delle vulnerabilità può essere un deterrente significativo per gli avversari. Un team di sicurezza informato è sempre pronto ad andare in "battaglia" e a resistere a qualsiasi minaccia, ransomware compreso.

---

¹ Le classifiche G2K riportate nelle sottovoci sono tratte dalla lista Global 2000 2021 di Forbes.